Attacken mot lösenordshanteraren LastPass visade sig vara allvarligare än väntat. Hackaren fick tag på användares krypterade lösenord genom en extern molnlagringstjänst som LastPass utnyttjade för backups.

Läckan hänger samman med attacken i augusti. Angriparen fick inte tag på någon kunddata den gången, men hittade källkod och teknisk information som därefter utnyttjades för att hacka en anställd vars nycklar användes för att komma in i molnlagringstjänsten.

LastPass menar att användarnamnen och lösenorden fortfarande är säkra, då de är krypterade med 256-bitars AES och endast kan dekrypteras genom huvudnycklar. Angripare skulle dock i teorin kunna få tag på huvudnyckeln genom nätfiske och social manipulation, eller genom bruteforce i de fall användare haft svaga koder.

These encrypted fields remain secured with 256-bit AES encryption and can only be decrypted with a unique encryption key derived from each user’s master password using our Zero Knowledge architecture. As a reminder, the master password is never known to LastPass and is not stored or maintained by LastPass.

Företaget hävdar att det vore ”extremt svårt” för angriparen att få tag på huvudnyckeln genom bruteforce ifall ett starkt lösenord har använts och att det skulle ta ”miljoner år” med allmänt tillgängliga tekniker för att knäcka lösenord. För de som haft en mindre säker huvudnyckel eller har återanvänt samma nyckel för flera tjänster rekommenderar LastPass att alla lagrade lösenord byts ut.

Angriparen fick även tag på kontoinformation likt företagsnamn, användarnamn, e-post, IP-adresser, samt faktureringsadresser och telefonnummer för de som angivit de uppgifterna. Enligt LastPass finns dock inga bevis för att angriparen fått tag på okrypterade kontokortsuppgifter. Företaget säger att de inte lagrar kompletta kontokortsuppgifter, samt att den typen av information inte fanns i molnlagringstjänsten.